Telerik Report Server là giải pháp quản lý báo cáo hỗ trợ các tổ chức tạo, chia sẻ, lưu trữ, phân phối và lập lịch báo cáo. Nhà nghiên cứu bảo mật Sina Kheirkha, với sự giúp đỡ của Soroush Dalili, đã thử nghiệm cách khai thác và chia sẻ một bài viết chi tiết mô tả cách khai thác phức tạp của một chuỗi gồm hai lỗ hổng, bỏ qua xác thực và một vấn đề. luồng khử tuần tự hóa, để thực thi mã trên thiết bị đích.
Lỗ hổng bỏ qua xác thực, được xác định là CVE-2024-4358 (điểm CVSS: 9,8), cho phép tạo tài khoản quản trị viên mà không cần bất kỳ xác minh nào. Kheirkhah cho biết họ đã phát hiện ra lỗ hổng này sau khi nhà cung cấp phần mềm tiết lộ lỗi khử lưu huỳnh vào ngày 25 tháng 4.
Nhà nghiên cứu phát hiện ra rằng phương thức 'Đăng ký' trong 'StartupController' có thể truy cập được mà không cần xác thực, cho phép tạo tài khoản quản trị viên ngay cả sau khi quá trình thiết lập ban đầu hoàn tất.
Sự cố này đã được giải quyết thông qua bản cập nhật (Telerik Report Server 2024 Q2 10.1.24.514) vào ngày 15 tháng 5, trong khi nhà cung cấp phát hành bản tin bảo mật với nhóm ZDI vào ngày 31 tháng 5.
Lỗ hổng thứ hai cần thiết để đạt được RCE là CVE-2024-1800 (điểm CVSS: 8,8), một lỗi giải tuần tự hóa cho phép kẻ tấn công được xác thực thực thi mã tùy ý trên các máy chủ bị ảnh hưởng.
Lỗ hổng này trước đây đã được một nhà nghiên cứu ẩn danh phát hiện và báo cáo cho nhà cung cấp, Progress đã phát hành bản vá cho lỗ hổng này vào ngày 7 tháng 3 năm 2024 trong bản phát hành Telerik® Report Server 2024 Q1 10.0 .24.305.
Mặc dù việc khai thác lỗi deserialization rất phức tạp nhưng bài viết và mã khai thác mà Kheirkhah chia sẻ khiến vấn đề này dễ bị các kẻ xấu lợi dụng. Do đó, các tổ chức nên áp dụng các bản cập nhật có sẵn càng sớm càng tốt, hay nói cách khác là nâng cấp lên phiên bản 10.1.24.514 trở lên, để giải quyết cả hai lỗ hổng.
Nhà cung cấp cũng lưu ý rằng mặc dù chưa có báo cáo nào về việc khai thác CVE-2024-4358 nhưng quản trị viên hệ thống nên xem lại danh sách người dùng trên máy chủ Báo cáo của họ để tìm bất kỳ người dùng cục bộ đáng ngờ mới nào được thêm vào tại '{host}/Users/ Mục lục'.
Các lỗ hổng nghiêm trọng trong Progress Software thường bị tội phạm mạng nhắm đến do số lượng lớn các tổ chức trên toàn thế giới sử dụng sản phẩm của nhà cung cấp. Trường hợp điển hình nhất là hàng loạt vụ tấn công đánh cắp dữ liệu trên diện rộng, khai thác lỗ hổng zero-day trên nền tảng Progress MOVEit Transfer của nhóm ransomware Clop vào tháng 3/2023.
Chiến dịch này là một trong những hoạt động tống tiền lớn nhất và có ảnh hưởng nhất trong lịch sử, gây thiệt hại cho hơn 2.770 nạn nhân và ảnh hưởng gián tiếp đến gần 96 triệu người.
Link nguồn: https://cafef.vn/va-ngay-lo-hong-nghiem-trong-cua-progress-telerik-188240606114143467.chn